Technisches Forum Kernkraftwerke

Frage 19: Füllstandsmessungen im Reaktordruckbehälter

In der Antwort auf die Frage A (betr. mögliche diversitäre Systeme für die Füllstandsmessung) untermauert KKM/KKL die Skepsis bezgl. anderen Systemen mit folgender Begründung:

„Bei einer Fukushima ähnlichen Situation, das heisst bei hohen Temperaturen (Hohe Temperatur = Beginn Kernschädigung; SE4) würden diese Systeme rasch unwirksam. Unwirksame oder falsch anzeigende (Probe-Systeme brächten jedoch Gefährdungen und Unsicherheiten beim Severe Accident Management (SAM) Entscheidungsprozess.“

Soweit so gut. Dass bei einem katastrophalen Unglücksverlauf, wie das in Fukushima der Fall war, Irritationen, Fehlhandlungen, resp. Unterlassungen durch falsch anzeigende Instrumente erfolgten ist belegt.

In der Antwort auf die Frage B (vergleichbare Szenarien in Schweizer Reaktoren) ignoriert dann aber KKM/KKL die oben zitierte, eigenen Aussage. KKM/KKL spielen in ihrer Antwort den technischen Mangel herunter:

„Die Auswertung der Fukushima Probleme zeigt keine Schwächen der betreffenden FSM Füllstandsmessung. Die Zeitdauer des Total-Station-Blackout war zu lang, sodass durch die Aufheizung des Containments die Sättigungstemperatur bereits weit überschritten war und die FSM auslegungsmässig in diesem Bereich nicht mehr zur Verfügung stand.“

Die FSM zeigte aber nach improvisierter Stromversorgung wieder an allerdings mit einem falschen Messwert. Dass die Anzeige nicht mehr richtig funktionieren konnte, war für die Belegschaft offenbar nicht ersichtlich – oder nicht bekannt. Es gehört zu den Binsenwahrheiten, dass sich der Mensch in bedrohlichen Situationen und Angstzuständen „am Strohhalm festklammert“. Was im beschriebenen Szenario offenbar der Fall war. Instrumente werden deshalb bedienerfreundlich konstruiert und Handeingriffe vermieden, damit solche Irrtümer unterbleiben. Es gibt keinen Hinweis, dass diese Instrumentierung diesen Anforderungen genügte.

KKM/KKL streifen schliesslich im Resumé doch noch die Bedeutung der Accident Management Massnahmen, allerdings nur in Form eines Pauschalurteils, dass die Ausbildung in Accident Management unzureichend war:

„Die eigentlichen Versagensgründe in Fukushima lagen nicht bei den RDB-Füllstandsmessungen, wie es in der Fragestellung von Herr Kühni fälschlicherweise angenommen wurde, sondern lagen in den landeseigenen Verhältnissen damals: Keine effektive Accident Management Ausbildung und Übung; unzureichende Hardware Vorkehrungen für RDB-Druck-Absenkung und fehlende alternative Einspeisemöglichkeiten. Es war nicht eine falsche oder defekte Füllstandsanzeige entscheidend, sondern sie konnten nicht einspeisen und kühlen – egal ob mit oder ohne FSM.“

Diese Antwort betrachte ich nur als überheblich. Sie suggeriert die Schwäche der japanischen Betreiber und ihres Personals und die eigene Unverwundbarkeit von KKM und KKL.

Deshalb diese Fragen an KKM/KKL:

Welche Konsequenzen wurden daraus gezogen, dass die FSM (nach Wiederversorgung mit Strom) falsch anzeigte?
Können die Füllstandanzeigen so nachgerüstet werden, dass eine Fehlanzeige ausgeschlossen werden kann, resp. eine Anzeige angibt, dass das betroffene Instrument als ausser Betrieb zu betrachten ist?

an ENSI

Hat das ENSI entsprechende Verbesserungen der bestehenden FSM von den Betreibern, resp. den Herstellern gefordert?
Sind Massnahmen (oder Verfügungen) in andern Ländern betr. der Falschanzeige des Füllstands bekannt?

Thema	Reaktordruckbehälter	Bereich	Kernkraftwerke
Eingegangen am	27. April 2015	Fragende Instanz	Stefan Füglister
Status	beantwortet
Beantwortet von	Kernkraftwerk Leibstadt \| Kernkraftwerk Mühleberg, ENSI

Beantwortet von Kernkraftwerk Leibstadt | Kernkraftwerk Mühleberg

Antwort (KKL/KKM):

Einleitung:

Die Beantwortung der Frage 19 wurde am 25.09.2015 von den KKW Leibstadt und Mühleberg als Wiederholung des prinzipiell ähnlichen Fragekomplexes 9 (Füllstandsmessungen Reaktordruckbehälter) vom 7. Mai 2013 und 10 (Leck in der Umwälzschleife) vom 7. Mai 2013 dem TFK darstellt. Der Referent macht zu Anfang des Vortrages klar, dass das KKL und KKM für eine künftige Wiederholung dieses Themas (ohne explizit neue Sachlage) nicht mehr zur Verfügung stehen.

Die in Frage 19 von Herrn Füglister (Kampagnenforum) unterstellte „Überheblichkeit“ des KKW-Referenten gegenüber den japanischen Betreibern in Bezug auf den Verlauf des Fukushima-Unfalls 2011 deutet auf ein gewisses Miss- und Falschverständnis zu den Abläufen und dem Unfallhergang in Fukushima hin.

Ablauf Unfall Fukushima:

Zur wiederholten Beantwortung ist der aktuelle, zusammenfassende Fukushima-Bericht der IAEA vom August 2015 heran gezogen worden. Dieser Bericht unterstützt alle bisher von den Schweizer KKW dargelegten Fakten zur Nichtanwendbarkeit der Füllstandsmessung (FSM) in Fukushima sowie die gültigen schweizerischen Severe Accident-Vorgehensweisen in Siedewasserreaktoren für den Fall eines ähnlich schweren, auslegungsüberschreitenden Unfalls, wie er in Fukushima passierte. Dementsprechend kommt die neuerliche Antwort zu keinen anderen Ergebnissen als die früheren Beantwortungen.

Es wird betont, dass weder eine korrekte noch eine inkorrekt anzeigende FSM in Fukushima Daiichi Block 1, 2 und 3 einen vor- oder nachteiligen Einfluss auf den Unfallablauf und auf die Entscheidungsprozesse der Schichtmannschaft ausgeübt hatte. Der wesentliche Grund lag in einem mangelhaft gestalteten Defense-in-Depth-(DiD)-Konzept. Dabei stach die mangelhafte Schutz- und Barrierewirkung der Gebäude gegen Überflutung hervor, die in der Folge für die Systeme auf der Sicherheitsebene 3 der gestaffelten Sicherheitsvorsorge das Gesamtversagen der AC- und DC- Stromversorgung nach sich zog. Weiterhin wurden bei Block 1 auf dieser Sicherheitsebene bereits vor dem Tsunami verschiedene Fehlleistungen begangen: z.B. wurde der essentiell wichtige Isolationskondensator zu einem frühen Zeitpunkt irreversibel ausgeschaltet. Obschon die Unabhängigkeit der Sicherheitsebenen ein wichtiges Postulat im DID-Konzept darstellt, ist es eine einfache Erkenntnis, dass auf der vorgelagerten Ebene 3 nicht zu viele Sicherheitselemente verloren gegangen sein dürfen, damit die Vorkehrungen auf der Sicherheitsebene 4 noch funktionieren können.

In der nicht ausreichend sicherheitstechnisch nachgerüsteten Anlage Fukushima Daiichi waren aber zu viele Systeme und sonstige Vorkehrungen auf Sicherheitsebene 3 und 4 (SE 3 und 4) nach Erdbeben und Tsunami nicht mehr verfügbar oder von vorn herein gar nicht vorhanden gewesen. Die FSM hatte während des Unfallablaufes weder einen positiven noch einen negativen Einfluss auf die Betriebsschicht ausgeübt. Auch ist dem neuen IAEA-Bericht „The Fukushima Daiichi Accident“ http://www-pub.iaea.org/books/IAEABooks/10962/The-Fukushima-Daiichi-Accident nicht zu entnehmen, dass die Schicht durch irgendwelche FSM-Zwischenablesungen während des Unfallablaufes zu „falschen“ Schlussfolgerungen geleitet worden war – oder zumindest zeitweilig in die Irre geführt worden wäre und damit „falsche“ Entscheidungen zustande gekommen wären. Tatsache ist, dass die Schichten aufgrund des maximalen Ausfalls aller wichtigen Versorgungssysteme auf SE3 und aufgrund einer defizitären Ausrüstung und ungenügenden Notfallpraxis auf der SE4 a und b keine effektive Möglichkeit mehr hatten, irgendetwas „falsch zu interpretieren“ oder etwas „falsch zu entscheiden“. Unter Massgabe der stark reduzierten Möglichkeiten hatten die Betriebsschichten während des Unfallablaufes alles Erdenkliche probiert, was die Situation überhaupt zuliess. Sie hatten mit diesen wenigen Möglichkeiten und deren schnellen Reduktion während der Unfallprogression kaum eine reelle Chance den Unfall ohne Kernschmelzen zu beenden.

Die Richtigkeit obiger FSM-Argumentation wird in diesem Zusammenhang vorallem durch den zeitlichen Ablauf und die spezifischen Bedingungen bei Fukushima Block 2 und Block 3 unterstützt. So hatte die FSM-Instrumentierung selbst bei den Aktivitäten während der wesentlich längeren kernschadensfreien Phasen bei den Unfallabläufen der Fukushima Blöcke 2 und 3 (verglichen mit Block 1) keine Rolle gespielt. Bei diesen beiden Anlageblöcken konnte mittels RCIC-Umlaufkühlung zwischen RDB und Containmenttorus ein Kernschaden noch viele Stunden verzögert werden. So trat der Kernschaden bei Block 2 erst ca. 65 h und bei Block 3 ca. 30 h nach der 2. Tsunamiwelle ein.

Ein wichtiger Punkt dabei ist, dass in Block 3 die DC-Versorgung nicht verloren ging. Somit war die FSM-Instrumentierung in einer Zeitspanne von sicherlich 15 -20 std. unter den Temperaturverhältnissen im Containment des Blocks 3 noch mit korrekter Anzeige im Kommandoraum vorhanden. Selbst diese „Zeitreserve“ half der Schicht nicht bei der Bewältigung des Unfalles, da eine rechtzeitige und dauerhafte Druckreduzierung der RDB (von Block 2 und 3) über die Öffnung der Sicherheitsabblaseventile (SRV) – trotz vorhandenen DC Stroms – zum Zweck der alternativen Niederdruckeinspeisung bis zum Zeitpunkt des Kernschmelzens nicht gelang. Dies belegt nochmals eindrücklich, dass die FSM keinen Einfluss auf den Ablauf des Unfalls hatte.[1]

Der RDB- Druck von rund 70 bar war erst nach dem Schmelzvorgangs, vermutlich aufgrund des Durchbruchs der 3 Kernschmelzen durch die untere RDB-Kalotte markant gesunken.

Vorgehensweise in den Schweizer Siedewasserreaktoren:

Im Folgenden wird deshalb noch einmal die Vorgehensweise am Beispiel des KKL bei einem Auslegungsstörfall und einem auslegungsüberschreitenden Unfall dargestellt. Diese Vorgehensweise gilt unter Anwendung anderer technischer Begriffe prinzipiell auch so im KKM.

Dabei werden die zutreffenden symptomorientierten Störfallanweisungen (SFA) und Accident Manangement Anweisungen (AM) konsequent Punkt für Punkt abgearbeitet, bis der Störfall schliesslich beherrscht (Schutzziel 1- 3 erreicht) resp. massgeblich gelindert ist (übergeordnetes Schutzziel 4 erreicht). Jeder Operateur weiss dabei aus seiner Ausbildung und der Simulatorschulung, dass er sich im fortgeschrittenen Verlauf eines schweren auslegungsüberschreitenden Unfalles prinzipiell nicht mehr auf FSM- Anzeigen verlassen darf, da es bei hohen Containment-Temperaturen zu Verdampfungserscheinungen in der FSM-Berohrung kommt. Dies bestätigte auch der Unfallablauf von Fukushima.

Die Containment-Temperaturwerte, ab welchem eine FSM-Anzeige als ausgefallen (weil bereits im verbotenen Bereich) zu bewerten ist, sind den Operateuren innerhalb der betreffenden Störfallanweisung ausdrücklich ersichtlich. Für einen solchen FSM-Ausfall gibt die Störfallanweisung nur noch den Weg des „Niederdruck Reaktorflutens“ nach dem Öffnen einzelner Sicherheitsabblase-Ventile (SRVs) vor, bei dem der Reaktor bis hoch zu den Frischdampfleitungen (dies ist eine von mehreren alternativen diversitären Möglichkeiten den Füllstand des RDB zu bestimmen) gefüllt wird.

Falls die Versorgung des gesamten Wechselstroms ausgefallen ist (T-SBO), und somit eine ND-Einspeisung durch interne Noteinspeisesysteme (incl. des Notstandssystems SEHR (KKL) nicht möglich ist, wird auf die SFA/AM-Anweisung „Station Black Out“ gewechselt. Dadurch erhält die Schichtmannschaft klare Vorgaben, wie (1) mittels des restdampf-getriebenen RCIC als Hochdruckeinspeisesystem Kaltkondensat in den Reaktor eingespeist wird, und (2) dem Öffnen eines oder max. zweier SRV über mehrere Stunden der RDB-Druck soweit abgesenkt ist, dass das Reaktorniveau stets oberhalb der Kernoberkante gehalten bleibt. Während dessen wird durch die Notfallmannschaft eine alternative ND-Einspeisung (KKL: Feuerwehrlöschfahrzeug, Kühlturmtasse, Grundwasserbrunnen, Rhein) auf der Basis weiterer SFA/AM vorbereitet. Zeitlich parallel dazu wird die Notfallmannschaft mittels einer spezifischen SFA/AM die sofortige Bereitstellung der externen SAM Diesel initiieren, um den Ladungserhalt der sicherheitsrelevanten Gleichstromversorgung (Batterien) zu gewährleisten.

Zusammenfassung:

Die Befürchtung einer Belastung der Schichtmannschaft während eines Unfalls durch falsche oder nicht interpretierbare Anzeigen der FSM mit potentiell nachfolgendem Fehlentscheid ist in den Schweizer Siedewasserreaktoren unbegründet. Die Beherrschung schwerer Unfallszenarien resp. deren Linderungsmassnahmen geschehen nicht auf der Basis von FSM-Ablesungen, sondern gehen vielmehr von einem Ausfall der betreffenden Instrumentierungen während des Unfallablaufes aus. Genau derart ist auch das Schichtpersonal geschult und sind die Störfall-/Notfallanweisungen gestaltet. Bei kritischen Containment-T-Verhältnissen wird deshalb sicherheitsgerichtet immer auf die SFA/AM Flutung des Reaktors und/oder des Containments übergegangen.

[1] Einfügung: Anlässlich eines eintägigen Treffens einer Delegation des japanischen Sicherheitsinstitutes JANSI (Japan Nuclear Safety Institute) am 09. Oktober 2015 mit Vertretern des KKL wurde das Thema FSM in Fukushima am Rande der Tagung mit den japanischen Sachverständigen diskutiert. Die oben gelieferte FSM-Argumentation von KKM und KKL wurde dabei von den japanischen Spezialisten in allen Punkten für zutreffend beurteilt.

Beantwortet von ENSI

Hat das ENSI entsprechende Verbesserungen der bestehenden RDB-Füllstandmessung von den Betreibern, resp. den Herstellern gefordert?

ENSI: Die RDB-Füllstandmessung des KKM wurde vom ENSI unter Berücksichtigung des realisierten Redundanzgrads in Verbindung mit den vorhandenen Anweisungen (Störfallvorschriften und SAM-Guidance) als dem Stand der Technik entsprechend abschliessend beurteilt. Das ENSI hob hervor, dass KKM mit dem CLMS über ein Computer gestütztes System verfügt, welches auf der Basis von Temperatur- und Druckmessungen an den Referenzbeinen Instrumentenleckagen, das Ausdampfen der Messleitungen und weitere Störungen der Füllstandmessung erkennen kann und meldet. Zusätzlich verfügt das KKM über Temperaturmessungen im Drywell, die als Störfallinstrumentierung zur Leckageerkennung und zum automatischen Start der Niederdruckeinspeisung in allen Siedewasserreaktoren installiert sind (KKM & KKL bis 200°C). Diese können auch zur Beurteilung der Füllstandmessung herangezogen werden.

Aus derzeitiger Sicht wäre die im KKL getestete zusätzliche Druckdifferenzmessung an zwei Druckmessstellen zur andersartigen Bestimmung eines ungenügenden Füllstandes noch als weitere Verbesserungsmassnahme im KKM denkbar, diese ist aber nur eingeschränkt diversitär zur vorhandenen Messung. Der Vorteil dieser Messanordnung wäre im KKM, dass die Messbeine durch das biologische Schild geschützt wären und die Messbeine relativ tief liegen. Aufgrund der Einstellung des Leistungsbetriebs im Jahr 2019 ist aus Sicht des ENSI eine Umsetzung dieser Massnahme im KKM nicht mehr angemessen.

Die Einrichtungen des KKL zur RDB-Füllstandmessung unterscheiden sich von denen des KKM und sind noch nicht vom ENSI abschliessend beurteilt. Die in der Revision 2015 getestete Druckdifferenz-messung ohne Nutzung der bisherigen Referenzbeine müsste aber in jedem Fall noch in ein Gesamtüberwachungskonzept eingearbeitet werden. Die Auswertung der Testergebnisse ist dem ENSI bis Ende November 2015 vorzulegen.

Bisher sind vom ENSI keine Forderungen zur Ertüchtigung der RDB-Füllstandmessung an die Betreiber ergangen. Forderungen kann das ENSI nur an die Betreiber der Kernkraftwerke, aber nicht an die Hersteller richten.

Sind Massnahmen (oder Verfügungen) in andern Ländern betreffend der Falschanzeige des RDB-Füllstands bekannt?

ENSI: Abgesehen von den aufgrund der USNRC Meldung zu Problemen bei der RDB-Füllstandsmessung vom August 1992 (Generic Letter 92-04) durchgeführten Überprüfungen und den daraus abgeleiteten Massnahmen und den Nachrüstungen von Incore-Thermoelementen in Gundremmingen KRB B&C (Einbau 2012) sind dem ENSI keine weiteren wesentlichen Massnahmen zur Ertüchtigung der RDB-Füllstandmessung bei Siedewasserreaktoren in anderen Ländern bekannt. Es sei an dieser Stelle aber auf eine Modifikation in schwedischen Anlagen hingewiesen, bei denen die Referenzbeine der Füllstandsmesseinrichtung durch das Containmentsprühsystem gekühlt werden. Die Schweizer Anlagen haben kein Containmentsprühsystem, prinzipiell wäre aber auch ein Anschluss an die Kühlung der Kondensationskammer möglich. Funktionieren diese Systeme, ist aber auch nicht von einem Ausdampfen der Referenzbeine auszugehen. Das ENSI beurteilt deshalb diese Modifikation für Schweizer Siedewasseranlagen nicht als ein Sicherheitsgewinn und hat sie deshalb auch nicht gefordert.

Präsentation des ENSI zur Füllstandsmessung im Reaktordruckbehälter (Frage 19)